Segurança da senha do disco rígido do BIOS?

As senhas do BIOS são bloqueios simples. Se você não fornecer a senha, o BIOS simplesmente pára e não continua o processo de inicialização.

Existem duas maneiras de contornar esse bloqueio simples:

1. Limpe a memória BIOS / CMOS (geralmente requer acesso direto à placa-mãe).

2. Remova a unidade e conecte-a a outro computador (mais fácil).

Atualização : Como menciona a resposta de Blackbeagle, há uma senha de HDD definida como parte das especificações do ATA. Este também é um bloqueio simples, mas é implementado na unidade, portanto nenhum dos passos acima irá contorná-lo. Algum conhecimento técnico (e possivelmente algum hardware adicional) é necessário. Talvez você esteja interessado em este artigo básico sobre senhas de HDD .

O bloqueio do BIOS é um impedimento decente em qualquer cenário de enredo de filme: alguém com conhecimento técnico limitado ou situações em que o invasor pode acessar o computador, mas não tem tempo ou liberdade suficientes para desmontá-lo. Se você está apenas tentando impedir seu colega de trabalho ou membro da família de acessar, isso funciona. No entanto, isso não é um impedimento significativo para um atacante determinado ou alguém que tenha acesso físico ilimitado.

O bloqueio do nível ATA é um melhor impedimento, mas não é perfeito. Novamente, um atacante determinado, com tempo suficiente, obterá seus dados.

A criptografia de disco completo está disponível e oferece melhor proteção. Drives de autocriptografia que fazem isso em hardware existem e há muitas opções de software. A criptografia de dados torna muito mais difícil para um invasor obter seus dados, mas sempre há maneiras de contornar a criptografia. (Em particular, cuidado com Criptanálise de tubos de chumbo .)

Com o devido respeito, há um equívoco entre as senhas do BIOS e as senhas do HDD. Outro entre senha e criptografia. Outra entre a segurança do HDD e o chip de segurança na mobo.

1. O BIOS pwds protege apenas o processo de inicialização: se a senha não for fornecida ao BIOS durante a sequência de inicialização, a seqüência de energia será interrompida. BIOS pwd são armazenados na mobo. Nesta fase, o disco ainda não foi acessado. A senha do HDD (nome real é ATA Security) é fornecida apenas pela unidade e não pelo BIOS. Os discos HDD são armazenados apenas na unidade. No entanto, o BIOS precisa pedir o pwd para o usuário e passá-lo para a unidade (ele não é verificado pelo BIOS). O HDD decidirá então se desbloqueará a unidade. Se não, nenhum dado pode ser lido ou escrito.

2. As senhas do disco rígido não estão relacionadas à criptografia de disco. O recurso ATA Security é apenas um mecanismo de bloqueio / desbloqueio. Os dados podem ser criptografados ou não pelo sistema, isso é transparente para o controlador HDD a bordo do HDD. Observe que alguns discos Hitachi Travelstar são sempre criptografados, mas não são protegidos (a chave de criptografia não é liberada fora da unidade, apenas a unidade sabe disso). O objetivo é embaralhar os dados e forçá-los a serem lidos apenas pelo chip HDD, mas são fornecidos a todos. A proteção estará disponível apenas por meio do ATA Security.

3. Senhas e credenciais em geral podem ser armazenadas em um armazenamento simples (EEPROM simples) ou em armazenamento inteligente. A EEPROM nua pode ser lida e escrita. O armazenamento inteligente é oferecido por chips de microcontroladores (semelhantes aos cartões MMC), como o famoso "TPM" (do padrão Trusted Computing Group). O TPM pode armazenar senhas ou chaves criptografadas com segurança. Eles estão associados ao mobo do computador antes de serem usados, portanto, trocar o TPM entre o computador não funciona. Não é possível lê-los. Eles podem ser apagados apenas. Simplesmente disse que você forneceu o pwd que você quer confirmar, o chip diz Sim ou Não, mas você não pode adivinhar qual pwd levaria a Sim. Os TPMs são usados pelo novo BIOS EFI para garantir que o processo de inicialização seja seguro e que as assinaturas do software e do hardware de inicialização sejam armazenadas no TPM. Caso difiram no momento da inicialização, o usuário será informado e precisará confirmar que deseja continuar inseguro.

Para a senha de inicialização do BIOS, a resposta está correta - é relativamente fácil ignorá-la. Normalmente curto o CMOS.

Para bloqueios de senha de disco rígido - eu acredito que eles normalmente têm um pequeno chip de criptografia na placa de circuito. Quando você os habilita, a especificação ATA envia um sinal de volta ao BIOS que resulta no controle passando para o chip. Em seguida, pede a senha. Inicialmente, quando você o define, ele pega a senha, criptografa e armazena nos discos da unidade. Subsequentemente, quando a unidade é inicializada, o chip criptográfico assume o controle, consulta a senha e a verifica na cópia armazenada. Se eles corresponderem, o chip criptográfico permite inicialização adicional.

EXISTEM DESCRIPTORES DE UNIDADE. Eu não sei o preço, mas eu os vi. Eles se conectam diretamente na unidade e podem descriptografar esse tipo de proteção. Pode ser possível trocar placas de circuito, mas isso não funcionaria se o fabricante da unidade fosse inteligente o suficiente para mover o chip dentro da caixa ao lado dos pratos.